No âmbito de uma nova lei introduzida naquele estado norte-americano, a partir de 1 de Julho, as empresas deverão avisar os seus clientes na Califórnia das falhas de segurança, informando-os por email no caso de serem atacados por intrusos que poderão ter roubado os seus números de cartões de crédito, noticiou a Associated Press.

Os políticos locais consideram que este é o primeiro documento legislativo do seu tipo nos Estados Unidos, e poderá vir a servir de modelo para uma lei de âmbito federal. Nesse sentido, a senadora Dianne Feinstein planeia introduzir uma legislação semelhante no Senado dentro de um mês.

A nova lei da Calfórnia adopta uma posição diferente do tratamento da
administração Bush face à indústria tecnológica, especialmente quando estão em causa questões controversas relativas ao comércio electrónico, como privacidade e fraude. Apesar de o FBI e da Federal Trade Commission (FTC) terem perseguido criminalmente operadores de sites da Web envolvidos em vendas e leilões fraudulentos, os defensores da abordagem não-intervencionista receiam que as leis possam travar a inovação numa indústria em depressão.

Por outro lado, porém, vários executivos de companhias de tecnologia e juristas aprovaram este novo esforço para acabar com o roubo de identidades online, um dos crimes que tem registado um maior crescimento nos últimos anos. O serviço postal dos EUA divulgou que, em média, 50 mil pessoas ao ano são vítimas de roubo de identidade, ao passo que o Departamento do Tesouro afirma que os ladrões obtêm entre dois a três mil milhões de dólares por ano apenas com o roubo de cartões de crédito.

Os defensores afirmam que a lei irá responsabilizar mais os executivos pelos casos de fraude informática. Embora não imponha multas monetárias específicas, a regulação torna as companhias com redes informáticas de segurança duvidosa mais susceptíveis a processos judiciais e à rejeição da opinião pública. A nova lei aplica-se a qualquer companhia que armazene electronicamente dados e exerça actividade na Califórnia.

As empresas deverão alertar os clientes sempre que "informação pessoal não-encriptada tenha, ou se acredite com alguma certeza que tenha sido adquirida por uma pessoa não-autorizada". A lei define informação pessoal como o primeiro nome ou inicial de um individuo mais o seu último nome juntamente com um dos seguintes números: segurança social, carta de condução, identificação estadual e cartão de crédito ou de débito e código de segurança.

Excepto quando a divulgação comprometer uma investigação criminal, as empresas deverão avisar os consumidores o mais rapidamente possível, com um email ou carta por correio postal. Se um intruso obter acesso a dados relativos a 500 mil ou mais clientes, a companhia poderá ter que notificar as pessoas por email, através de um aviso no seu site e mediante um comunicado divulgado à comunicação social.

Notícias Relacionadas:
2003-01-24 - FTC
conclui que casos de fraude via Internet aumentaram em 2002 nos EUA
2002-11-26 - Grupo
acusado de roubar dados de cartões de crédito via Web de mais de 30 mil
pessoas nos EUA